ゼロトラスト時代のセキュリティを盤石にする、VeronaSASEとOneGateの連携

まず弊社Veronaについて簡単にご紹介します。SASEの機能を標準搭載し、導入が簡単、運用負荷ゼロという3つの特徴があります。累計6,000社以上の導入実績を持つシリーズの製品です。坂元様、特に印象に残った特徴はありましたか？

特に印象的だったのは運用負荷ゼロのところです。お客様にとって非常に魅力的な部分だと思います。

ただ、正直に申し上げますと、VeronaはSASEとしてネットワーク全体を守るという点では非常に強いのですが、その入り口となる認証の部分——特にPKI（Public Key Infrastructure／公開鍵基盤）運用やMFA（Multi-Factor Authentication／多要素認証）の多様性という点では、足りない部分が否めません。

そこで弊社のOneGateとの連携が生きてくることになりますね。

OneGateの強みを教えてください。

OneGateは、デジタル証明書を活用した認証に特化したIDaaS（Identity as a Service／クラウド型ID管理サービス）です。特に「人と端末を正確に識別する」という点に強みがあります。

具体的には、デジタル証明書による端末認証と顔認証などの生体認証を組み合わせることで、なりすましを徹底的に防ぎます。証明書がなければログイン画面にたどり着けませんので、パスワードリスト攻撃やブルートフォース攻撃といった攻撃にも非常に有効です。

VeronaのZTNA（Zero Trust Network Access／ゼロトラストネットワークアクセス）でもクライアント証明書ベースの認証を提供していますが、証明書の発行・配布・失効というPKI運用は専門的なノウハウが必要です。お客様から「証明書の運用が大変そう」「退職者が出た時の失効処理は？」「複数デバイスを使う社員の管理はどうする？」といった声も多くいただきます。この辺りはいかがでしょうか？

まさにその辺りがOneGateの得意分野でして、ソリトンシステムズ全体で20年以上のPKI運用実績がございます。高いコストパフォーマンスで証明書のライフサイクル管理を実現しています。

例えば、1ユーザーあたり最大10枚まで証明書を発行でき、どの端末にどの証明書が入っているかも管理画面で一目瞭然です。退職者が出た場合も、そのアカウントに紐づく全ての証明書を一括で失効させることができます。

証明書の配布方式も柔軟で、MDM（Mobile Device Management／モバイルデバイス管理）連携にも対応しています。IntuneやChromeOSと連携して証明書を自動配布することも可能です。SCIM（System for Cross-domain Identity Management）連携を介して、OneGateとVeronaのユーザー情報を自動同期する機能も今後実装予定です。これが実現すれば、ユーザーの作成・更新・削除まで自動化されます。

OneGateの認証機能は非常に強力ですね。認証後のネットワークセキュリティはいかがでしょうか？

正直に申し上げますと、OneGateは認証の入り口を守ることに特化しています。認証後の社内ネットワークやクラウドへの通信経路そのものの保護や、ネットワーク全体のセキュリティ管理という部分は、SASEのソリューションが必要になってきます。例えば、リモートワークの従業員が自宅からクラウドサービスにアクセスする場合、OneGateで認証はできますが、インターネットを経由する通信経路の脅威への対策は、OneGate単体ではカバーできません。

また、OneGateはネットワークトラフィックの監視やリアルタイムでの脅威検知、IPS（Intrusion Prevention System／不正侵入防止システム）・IDS（Intrusion Detection System／不正侵入検知システム）といった機能は持っていませんので、その辺りも必要になってきます。

Veronaはそこをフルカバーできます。SWG（Secure Web Gateway／セキュアウェブゲートウェイ）でWebトラフィックをフィルタリングし、マルウェアやフィッシングサイトへのアクセスをブロック。CASB（Cloud Access Security Broker／クラウドアクセスセキュリティブローカー）でクラウドサービスの利用状況を可視化し、シャドーITの検出も可能です。

分かりやすく言えば、OneGateが入り口の扉の鍵だとすると、Veronaは扉を通った後の廊下や部屋全体を守る警備システムというイメージですね。

Veronaにはマイクロセグメンテーション機能があり、万が一攻撃者が侵入してしまった場合でも、社内ネットワーク内での感染拡大を防いでくれます。OneGateで入り口を固めても、内部での横展開を防げなければ被害が拡大してしまいますので、これは非常に大きなフォローになります。

Veronaはフルマネージドなので、人手不足の企業でも、運用管理を日本のエンジニアにおまかせできるのも安心な点ですね。

先日発表されたソリトンSecureBrowserとVeronaの連携についても詳しくお聞かせください。

今回Veronaとの連携を発表したのが、ソリトンのSecureBrowser——業務利用に特化したエンタープライズブラウザです。最大の特徴は、ブラウザ上でのデータダウンロードを制御するDLP（Data Loss Prevention／データ漏洩防止）機能を備えている点です。OneGateユーザーであれば標準で使えるツールとなっています。

VeronaのSASEでアクセス経路を制御しても、エンドポイントでのデータ保護はどうしても課題が残ります。そこをSecureBrowserが補完します。SecureBrowserはOneGateに統合されていますので、デバイス証明書や生体認証を利用した高度なアクセス制御が可能です。すでに利用中の認証基盤とも併用できますので、既存環境を大きく変えることなく導入が可能です。

操作感も非常に重要なポイントで、普段使っているブラウザと同じような感覚で操作できますので、導入初日から迷わず使い始めることができます。マイクやカメラも使えますし、Web会議システムも問題なく動作します。

今回の連携によって実現できるのは、Veronaがネットワーク全体の保護としてアクセス経路を制御し、SecureBrowserがブラウザ上でのデータの持ち出しを抑える——この2段構えの防御体制です。アクセス経路の制御とデータ保護、この両面から安全性を確保できます。

またこれら全てが国産製品の組み合わせで実現できるというのも大きな意味を持っています。国産製品ならではの日本語でのサポート体制、日本企業の現場に合わせた対応しやすい価格帯これらが全て揃っているのです。

最後に、VeronaとOneGateの連携について全体像をお話しください。

OneGateとVeronaの連携によって、明確な役割分担が実現します。OneGateが「人と端末の認証」「PKIの運用」「ID管理」「エンドポイントのデータ保護」を担当し、Veronaが「通信経路の保護」「ネットワーク全体の監視・脅威検知」「運用管理の効率化」を担当します。この役割分担によってお互いの弱点を完全に補完し合い、真のゼロトラストセキュリティを実現します。

両社とも国産メーカーですので、日本語でのサポートはもちろん万全です。Veronaはフルマネージドですので専門スキル不要・運用負荷ゼロ。OneGateは最短５営業日で導入可能です。

弊社代表の石田も「日本企業の文化・IT環境・予算に寄り添った、無理なく導入できるゼロトラスト」と語っています。

日本企業のゼロトラスト導入においては「高すぎる」「難しすぎる」「運用しきれない」という壁がありました。が、VeronaとOneGate、そしてSecureBrowserの連携はまさにそれを体現するものだと確信しています。

ゼロトラストは難しいと思われがちですが、OneGateとVeronaなら簡単かつ確実に導入していただけます。ご不明な点やご相談がございましたら、お気軽にお問い合わせください。